Cloud Audit Logging con Cloud Storage

En esta página, se proporciona información adicional para el uso de Cloud Audit Logging con Cloud Storage. Usa Cloud Audit Logging si quieres generar registros para las operaciones de API que se realizan en Cloud Storage. Para configurar Cloud Audit Logging, consulta Configura los registros de accesos a los datos.

Información registrada

Dentro de Cloud Audit Logging, hay dos tipos de registros:

  • Registros de actividad del administrador: entradas para operaciones que modifican la configuración o los metadatos de un proyecto, un depósito o un objeto.

  • Registros de acceso a datos: entradas para operaciones que modifican objetos o leen un proyecto, un depósito o un objeto. A continuación, se mencionan distintos subtipos de registros de acceso a datos:

    • ADMIN_READ: entradas para operaciones que leen la configuración o los metadatos de un proyecto, un depósito o un objeto.

    • DATA_READ: entradas para operaciones que leen un objeto.

    • DATA_WRITE: entradas para operaciones que crean o modifican un objeto.

En la siguiente tabla, se describe cuáles son las operaciones de Cloud Storage que se incluyen en cada tipo de registro:

Tipo de entrada de registro Subtipo Operaciones
Actividad del administrador
  • Crear depósitos
  • Borrar depósitos
  • Configurar o modificar políticas de IAM
  • Configurar o modificar LCA de objetos
  • Actualizar metadatos de depósito
Acceso a los datos ADMIN_READ
  • Obtener metadatos de depósito
  • Obtener políticas de IAM
  • Obtener LCA de objetos
  • Enumerar depósitos
DATA_READ
  • Obtener datos de objetos
  • Obtener metadatos de objetos
  • Enumerar objetos
  • Copiar o componer objetos1
DATA_WRITE
  • Crear objetos
  • Borrar objetos2
  • Actualizar metadatos de objetos que no sean de LCA2
  • Copiar o componer objetos1

1 La copia y la composición no son atómicas, es decir, cada una lee y escribe datos. Como resultado, estas generan dos entradas de registro.

2 Cloud Audit Logging no registra las acciones realizadas por la característica Administración del ciclo de vida de los objetos. Si quieres obtener alternativas que realicen un seguimiento de estas acciones, consulta Opciones para realizar un seguimiento de las acciones del ciclo de vida.

Los registros de Cloud Storage usan un objeto AuditLog y siguen el mismo formato que otros registros de Cloud Audit Logging. Los registros contienen información como la siguiente:

  • El usuario que realizó la solicitud, incluida su dirección de correo electrónico
  • El nombre de recurso en el cual se realizó la solicitud
  • El resultado de la solicitud

Configuración de registros

El servicio storage.googleapis.com genera los registros que pertenecen a las operaciones de Cloud Storage.

Los registros de actividad del administrador se guardan de forma predeterminada. Estos registros no son parte de la cuota de transferencia de registros.

Los registros de acceso a datos que pertenecen a las operaciones de Cloud Storage no se guardan de forma predeterminada. Si quieres obtener información sobre cómo habilitar los registros para las operaciones de acceso a datos, consulta Configura registros de acceso a datos. Ten en cuenta que, a diferencia de los registros de actividad del administrador, los registros de acceso a datos son parte de la cuota de transferencia de registros y pueden afectar tus cargos de registro en Stackdriver.

Acceso a registros

Los siguientes usuarios pueden ver los registros de actividad del administrador:

Los siguientes usuarios pueden ver los registros de acceso a datos:

  • Propietarios del proyecto
  • Usuarios con la función de IAM de Visor de registros privados
  • Usuarios con el permiso de IAM logging.privateLogEntries.list

Consulta Agrega miembros de IAM a un proyecto para obtener instrucciones sobre cómo otorgar acceso.

Cómo ver registros

Los registros que pertenecen a Cloud Storage se clasifican bajo el tipo de recurso GCS bucket.

Puedes ver un resumen de los registros de auditoría de tu proyecto en el flujo de actividad en Google Cloud Platform Console. Puedes encontrar una versión más detallada de los registros en el Visor de registros.

Para obtener instrucciones sobre cómo filtrar registros en el Visor de registros, consulta la guía de Cloud Audit Logging.

Nombres de registro

Cloud Audit Logging usa nombres de registro estándar para todos los registros de auditoría. Para obtener información sobre la estructura de los nombres de registro y ejemplos de uso de estos como filtros de resultados de registro, consulta Visualización de registros de auditoría.

Restricciones

Las siguientes restricciones se aplican a Cloud Audit Logging con Cloud Storage:

Pasos siguientes

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...

Si necesitas ayuda, visita nuestra página de asistencia.